Dialogfeld "Single Sign-On" (SAML 1.1-Consumer)

casso13de
HID_partnership-sso-saml1-consumer
Inhalt
Im Schritt "Single Sign-On" können Sie den Single Sign-On-Vorgang konfigurieren.
SSO (SAML 1.1-Consumer)
Ermöglicht es Ihnen, Single Sign-On (SSO) zu konfigurieren. Der Abschnitt enthält folgende Einstellungen:
  • SSO-Profil
    Legt fest, ob Sie das SAML-Artefakt oder die POST-Bindung für Single Sign-On verwenden. Wählen Sie eine Binding für die Partnerschaft aus.
    Optionen:
    "HTTP-Artefakt", "HTTP-POST"
  • Zielgruppe
    Gibt die Zielgruppe für die SAML-Assertion an.
    Die Zielgruppe ist eine URL eines Dokuments, das die Bedingungen der Business-Vereinbarung zwischen zwei föderierten Partnern beschreibt. Der Administrator auf der Producer-Site legt die Zielgruppe fest. Dieser Wert muss dem beim Producer festgelegten Zielgruppenwert entsprechen.
    Wert:
    Eine URL.
    Der Zielgruppenwert darf 1.024 Zeichen nicht überschreiten und unterscheidet zwischen Groß- und Kleinschreibung.
    Beispiel:
    http://www.ca.com/SampleAudience
  • Remote-Quell-ID
    (Nur SAML 1.1-HTTP-Artefakt) Gibt eine eindeutige ID im SAML-Artefakt an, die den Producer bestimmt. Der Consumer verwendet diese ID, um einen Assertionsaussteller zu bestimmen.
    Die SAML-Spezifikation definiert eine Quell-ID als eine aus 20 Byte bestehende binäre und hexadezimalcodierte Zahl, die den Producer bestimmt. Der Wert "Quell-ID", den Sie eingeben, ist die 40 Byte-Hexadezimaldarstellung.
    Wir empfehlen, dass Sie den SHA1-Hash der Entitäts-ID als Quell-ID-Wert angeben. Wenn Sie keinen Wert für diesen Parameter eingeben, verwendet
    CA Single Sign-on
    standardmäßig den SHA1-Hash.
    Standard für Partnerschaft-Federation:
    SHA1-Hash der Entitäts-ID
  • URL des Remote-SSO-Dienstes
    Gibt die URL des Dienstes für Single Sign-On beim Producer an.
    Standard, wenn
    CA Single Sign-on
    der Producer ist
    : http://
    producer_server:port
    /affwebservices/public/intersitetransfer
  • URL des Remote-Assertionsabrufdienstes (nur HTTP-Artefakt)
    Gibt die URL des Assertionsabrufdienstes beim Producer an. Der Assertionsabrufdienst ruft die Assertion ab, die auf dem Artefakt basiert, das vom Consumer empfangen wird. Ein Eintrag ist für Single Sign-On des Artefakts erforderlich.
    Eintrag:
    URL des Remote-Assertionsabrufdienstes
    Wenn Ihr Remote-Producer
    CA Single Sign-on
    verwendet, verwenden Sie folgende URLs:
    • Wenn SSL nicht aktiviert ist:
      http://
      producer_server:port
      /affwebservices/publicsaml1ars
    • Wenn SSL aktiviert ist:
      https://
      producer_server:ssl_port
      /affwebservices/publicsaml1ars
  • Schutzebene
    Erlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.
    Einschränkungen:
    1 bis 1.000.
    Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
  • Synchrone Überwachung aktivieren
    Gibt an, dass
    CA Single Sign-on
    Aktionen des Richtlinienservers und des Web-Agent protokollieren muss, bevor der Zugriff auf Ressourcen erlaubt wird.
    CA Single Sign-on
    erlaubt keinen Zugriff auf die Ressourcen des Bereichs, bis die Aktivität in den Audit-Protokollen aufgezeichnet wurde.
Backchannel (SAML 1.1-Consumer)
Im Abschnitt "Backchannel" können Sie die Authentifizierungsmethode konfigurieren, die die Backchannel-Kommunikation für Single Sign-On des HTTP-Artefakts schützt.
Dieser Bereich zeigt folgende Einstellungen an:
  • Authentifizierungsmethode
    Gibt die Authentifizierungsmethode für Backchannel-Transaktionen an.
    Standard:
    Keine Authentifizierung
    Optionen:
    Standard, Client-Zertifikat, Keine Authentifizierung
    • Grundlegend
      Zeigt an, dass ein standardmäßiges Authentifizierungsschema den Backchannel-Zugriff auf den Assertionsabrufdienst schützt. Deswegen muss der Consumer einen Benutzernamen und ein vereinbartes Kennwort angeben.
      Wenn Sie "Standard" auswählen, konfigurieren Sie folgende zusätzliche Einstellungen:
      • Backchannel-Benutzername
        (Nur Standardauthentifizierung) Gibt den Benutzernamen an, wenn Standardauthentifizierung verwendet wird.
        Geben Sie den gleichen Wert ein, der für dieses Feld beim Producer angegeben ist.
      • Kennwort
        (Nur Standardauthentifizierung) Gibt das Benutzerkennwort an. Dieses Kennwort ist nur relevant, wenn Sie eine standardmäßige Authentifizierungsmethode oder eine "Basic over SSL"-Authentifizierungsmethode im Backchannel verwenden.
        Die zwei Verbundpartner müssen ein Kennwort vereinbaren.
      • Kennwort bestätigen
        (Nur Standardauthentifizierung) Bestätigt das Benutzerkennwort für eine Standardauthentifizierung im Backchannel. Geben Sie das Kennwort erneut ein.
        Hinweis:
        Wenn SSL für die Backchannel-Verbindung aktiviert ist, dann kann die Standardauthentifizierung immer noch ausgewählt werden.
      • Backchannel-Zeitlimit (Sekunden)
        Gibt die Höchstdauer an, die das Federation-System auf eine Antwort wartet, nachdem eine Backchannel-Anforderung an den Assertionsabrufdienst gesendet wurde. Geben Sie ein Intervall in Sekunden an.
    • Client-Zertifikat
      Zeigt an, dass ein Authentifizierungsschema des X.509-Client-Zertifikats den Backchannel für die Kommunikation mit dem Assertionsabrufdienst schützt.
      Für die Authentifizierung "Client-Zertifikat" muss SSL für alle Endpunkt-URLs verwendet werden. Endpunkt-URLs suchen die verschiedenen SAML-Services auf einem Server, wie z. B. den Assertionsabrufdienst. Für die SSL-Anforderung ist es erforderlich, dass die URL zum Service mit
      https://
      beginnen muss.
      Um die Authentifizierung "Client-Zertifikat" zu implementieren, sendet der Consumer ein Zertifikat an den Producer, bevor eine Transaktion auftritt. Der Producer speichert das Zertifikat im zugehörigen Zertifikatsdatenspeicher. Beide Partner müssen das Zertifikat haben, das die SSL-Verbindung in ihren jeweiligen Speichern aktiviert hat. Anderenfalls funktioniert die Authentifizierung "Client-Zertifikat" nicht.
      Während des Authentifizierungsprozesses sendet der Consumer sein Zertifikat an den Producer. Der Producer vergleicht das empfangene Zertifikat mit dem Zertifikat im Datenspeicher, um zu prüfen, ob sie übereinstimmen. Wenn es eine Übereinstimmung vorhanden ist, dann lässt der Producer den Consumer auf den Assertionsabrufdienst zugreifen.
      Wenn Sie die Authentifizierung "Client-Zertifikat" auswählen, konfigurieren Sie folgende zusätzliche Einstellung:
      • Client-Zertifikats-Alias
        Gibt den Alias an, der einem privaten Schlüssel-/Zertifikatspaar im Zertifikatsdatenspeicher zugeordnet ist. Wählen Sie den Alias aus der Drop-down-Liste aus. Wenn Sie kein Zertifikat haben, können Sie ein Zertifikat importieren, indem Sie "Importieren" auswählen, oder Sie können ein Zertifikat generieren, indem Sie "Generieren" auswählen.
      • Backchannel-Zeitlimit (Sekunden)
        Gibt die Höchstdauer an, die das Federation-System auf eine Antwort wartet, nachdem eine Backchannel-Anforderung an den Assertionsabrufdienst gesendet wurde. Geben Sie ein Intervall in Sekunden an.
    • Keine Authentifizierung
      Zeigt an, dass keine Anmeldeinformationen vom Consumer erforderlich sind. Der Backchannel und der Assertionsabrufdienst sind nicht geschützt.
      Wichtig!
      Wenn ein einzelner Producer ein Partner von verschiedenen Consumern ist, muss jede Partnerschaft eine eindeutige Quell-ID haben.